zxqb, тогда нужно реализовать защиту от CSRF. Например, вместе с каждым POST-запросом отправлять CSRF-токен, индивидуальный для каждого пользователя или для каждой сессии, нетривиальный для угадывания злоумышленником. Если токена нет или неправильный - то форма была отправлена не с сайта, либо алгоритм генерации CSRF-токенов не подходит для CSRF-токенов (между открытием страницы с формой и самой отправкой токен не должен меняться).
zxqb, как вам уже ответили - нужно применить csrf. А касательно реферера - это не дает никаких гарантий, потому что
1) он легко поддделывается
2) между разными доменами в современных браузерах он может не передаваться даже.
